DQS im Dialog
DQS Website Abonnieren

Datenschutz und Informationssicherheit – mit ISO 27001 und ISO 27701

Die Internationale Organisation für Normung (ISO) hat 2019 eine Norm veröffentlicht, in der sie ein allgemeines Datenschutzmanagementsystem (DSMS) vorschlägt. ISO/IEC 27701:2019 beschreibt ein DSMS auf der Grundlage eines Informationssicherheits-Managementsystems (ISMS). Diese spezielle Form des DSMS wird als Personal Information Management System (PIMS) bezeichnet. Im Folgenden werden die Grundlagen für dieses PIMS beschrieben. Und: Es wird herausgearbeitet, welche fünf Hauptvorteile ein Einsatz des PIMS für Unternehmen bietet.
© iStock Datenschutz und Informationssicherheit – mit ISO 27001 und ISO 27701 Fehler vermeiden

Auch im Kontext von Datenschutz und Informationssicherheit ist Datenschutz kein einmaliges Projekt, welches begonnen, durchlaufen und abgeschlossen wird. Genau das Gegenteil ist der Fall. Der betriebliche Datenschutz ist eine Anzahl an Datenschutzprozessen, die in Organisationen permanent verfügbar und umsetzbar beziehungsweise durch einen Trigger auslösbar sein müssen. Wichtige Beispiele dafür sind die beiden Datenschutzprozesse „Betroffenenrechte gewährleisten“ oder „auf Datenschutzvorfälle reagieren“.

In der Datenschutz-Fachwelt wird der Einsatz eines Datenschutzmanagementsystems (DSMS) als der große Wurf zur Lösung der Datenschutzprobleme von Unternehmen angesehen. Warum ist das so? Die Antwort ist relativ einfach:

Ein Datenschutzmanagementsystem ist der Rahmen und der Motor des betrieblichen Schutzes von Daten, der in Organisationen permanent eingehalten werden muss.

Die Datenschutz-Grundverordnung (DS-GVO) gibt lediglich die Regeln für das DSMS vor. Sie formuliert, was erlaubt oder verboten ist (Business Rules). Sie trifft aber keine Aussage, wie die Umsetzung der gesetzlichen Datenschutzanforderungen zu erfolgen hat.

Digitales Bewusstsein

Digitales Bewusstsein

DQS-ONLINE-KONGRESS

  • Einblicke gewinnen: Wie sich Audits mit der Digitalisierung verändern
  • Perspektiven erkennen: Wie Qualität in Zukunft aussehen kann
  • Zusammenhänge erstellen: Beim Zusammenspiel zwischen Wissen und Information und Wissen der Organisation

Wann? Am 12.Oktober 2021 von 9:30 Uhr bis 15:30 Uhr

Jetzt Teilnahme sichern

Datenschutz und Informationssicherheit: Was ist überhaupt ein Managementsystem?

Die Definition eines Managementsystems (MS) ist abstrakt und kann ad hoc nicht operationalisiert werden. DIN EN ISO/IEC 27000:2020 definiert ein Managementsystem als ein …

Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation (3.50), um Politiken (3.53), Ziele (3.49) und Prozesse (3.54) zum Erreichen dieser Ziele festzulegen“.

Erst wenn die Elemente eines Managementsystems näher definiert sind, kann eine Aussage darüber getroffen werden, ob die gesetzlichen und betrieblichen Datenschutzanforderungen der DS-GVO mit dem konkret vorliegenden Managementsystem erfüllt werden. Die Aussage, dass ein Datenschutz-Managementsystem betrieben wird, gibt weder einen Hinweis auf die Qualität des DSMS noch auf den Umsetzungsstand.

Die High Level Structure als Blaupause für Managementsysteme

Die Internationale Organisation für Normung hat eine Blaupause für Managementsysteme erstellt, die sogenannte High Level Structure (HLS). Die HLS beinhaltet alle Elemente, die aus Sicht der ISO für ein Managementsystem, relevant sind (Appendix 2 zum Annex SL der ISO/IEC Directives, Part 1). Aus diesem Grund ähneln sich die grundlegenden Mechanismen der ISO-Managementsystemnormen stark.

Das spezifische DSMS der ISO, das Personal Information Management System (PIMS), hat also die identische Basis wie ein Qualitätsmanagementsystem (QMS) nach ISO 9001, ein Umweltmanagementsystem (UMS) nach ISO 14001 oder ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001.

Datenschutz und InformationssicherheitIntegration der DS-GVO in ein Managementsystem

Ein PIMS nach ISO/IEC 27701:2019 ist universell und nicht auf die Datenschutz-Grundverordnung zugeschnitten. Es ist geeignet, jeglichen betrieblichen Schutz personenbezogener Daten umzusetzen, also auch das kalifornische oder japanische Datenschutzrecht.

Whitepaper ISO 27701: ISO 27001 trifft DS-GVO der DQS

ISO 27701: ISO 27001 TRIFFT DATENSCHUTZ

KOSTENFREIES WHITEPAPER

Erfahren Sie mehr über

  • den Zusammenhang zwischen der DS-GVO und den ISO-Normen
  • die 7 Schritte zum Datenschutz-Managementsystem
Jetzt herunterladen

Durch die Erkennung und Einbindung spezifischer Datenschutzanforderungen erreicht das PIMS Konformität mit der DS-GVO. Dies geschieht durch den Managementsystem-Mechanismus des Anforderungsmanagements. Als Anforderungsmanagement wird die Erkennung und Bewertung von internen und externen Anforderungen und Umsetzung von Maßnahmen zur Risikobehandlung bezeichnet.

ISO 27701 – Fünf Vorteile eines Datenschutzmanagements

Im Wechselspiel von Datenschutz und Informationssicherheit ist eine Norm immer als ein Best-Practice zu verstehen. Die konkrete Umsetzung der Anforderungen und Maßnahmen für Datensicherheit ist durch den Anwender vorzunehmen.

Allgemeiner Vorteil des PIMS ist die weltweite Vereinheitlichung durch die Norm und die umfangreiche Literatur zur Normumsetzung. Zugegebenermaßen ist die Normensprache „gewöhnungsbedürftig“.

Vorteil 1: Zuweisung von Verantwortlichkeiten

Es scheint bei kleinen und mittelständischen Unternehmen (KMU) schon fast Unternehmenskultur, Verantwortung unklar oder gar nicht zuzuordnen. Es ist zu beobachten, dass in vielen Unternehmensrichtlinien die Verantwortung für gewisse Tätigkeiten oder Assets nicht klar definiert und adressiert sind. Dies ist ein großes Manko und führt im Betrieb zu Lücken und Fehlern.

ABER: Der Schutz von Daten ist ein „Teamsport“. Nur wenn alle Aufgaben identifiziert und den Verantwortlichen zugewiesen sind, und nur, wenn diese Personen ihre Aufgaben auch erfüllen, kann eine Organisation datenschutz-compliant agieren.

Verantwortung verteilen ist gut. Verantwortung wahrnehmen ist besser.

Durch die Einführung eines PIMS muss für den Anwendungsbereich der Norm das Eigentümerprinzip in die Organisation eingeführt werden. Der Begriff Eigentümer ist hier aber nicht in seiner zivilrechtlichen Bedeutung zu begreifen. Vielmehr wird im Normendeutsch mit Eigentümer die Verantwortung einer Person für ein Asset oder die Umsetzung einer Anforderung oder Maßnahme bezeichnet.

Beispiel: Das Führen des „Verzeichnisses der Verarbeitungstätigkeiten (VVT)“ wird häufig an den Datenschutzbeauftragten (DSB) delegiert. Dies ist natürlich kompletter Unsinn und kann auch nicht funktionieren, da der DSB häufig in vielen Verarbeitungstätigkeiten gar nicht involviert ist. Im Qualitätsmanagement führen die Prozessverantwortlichen die Prozessdokumentationen durch. Die oberste Leitung sollte dies analog auch im Datenschutz entsprechend delegieren.

Zertifikate nach ISO 27701

In Sachen Zertifizierung ergänzt ISO 27701 die bekannte Norm ISO 27001 – sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Dafür befindet sich die DQS aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet mit einer Zulassung im Sommer 2021.

Vorteil 2: Der betriebliche Datenschutz ist risikoorientiert

Der europäische Gesetzgeber fordert in der DSGVO eine risikoorientierte Umsetzung des Datenschutzes, zum Beispiel in Artikel 32 Abs. 1 DSGVO. Diese Risikoorientierung funktioniert häufig nicht in Unternehmen, in denen offiziell kein Managementsystem installiert ist. Durch die Anwendung der Datenschutznorm ISO 27701 wird zwangsläufig auch die Risikoorientierung eingeführt. Dabei ist die Methode zur Risikobewertung von Datensicherheit nicht vorgeschrieben und kann – in Grenzen – durch den Anwender festgelegt werden.

Vorteil 3: Änderungsmanagement als Erfolgskomponente

Auslöser von Datenschutzprozessen kann eine Änderung in der Organisation sein. Zum Beispiel die Einführung oder Anpassung eines Geschäftsprozesses, einer Dienstleistung oder eines Produktes. Unternehmen ohne Änderungsmanagement (Change Management) haben große Probleme, die datenschutzrechtlichen Anforderungen einzuhalten, da der Umgang mit Änderungen regelmäßig zufällig und ungesteuert geschieht. Es entsteht eine sogenannte Regelungslücke.

Unternehmen und Organisationen verändern sich ständig. Change Management spielt auch beim Schutz von Daten eine wichtige Rolle.

Ein PIMS erfasst und steuert diese Änderungen mit Hilfe eines Änderungsmanagements und setzt sie um. Die Änderung eines Geschäftsprozesses bedingt zum Beispiel die Prüfung der Zulässigkeit (Rechtmäßigkeit, Datensparsamkeit, Betroffenenrechte, Dokumentation im VVT, etc.).

Beispiel: Die Anforderung der frühzeitigen Einbindung des Datenschutzbeauftragten bei der Gestaltung von Änderungen lässt sich ganz einfach erreichen, indem er in das Change-Team berufen wird.

Vorteil 4: Optimierung durch kontinuierlichen Verbesserungsprozess

Unternehmen verändern sich permanent. Ein PIMS wird initial geplant, umgesetzt und betrieben. Sehr wahrscheinlich verläuft der erste Versuch der Einführung, Umsetzung und des Betriebes eines PIMS suboptimal, da die Erfahrungen in den Unternehmen fehlen. Auch wenn bei der Einführung ein erfahrener Berater konsultiert wird, ist mit Stolpersteinen zu rechnen.

Prämisse: Informationssicherheit und Datenschutz systematisch und nachhaltig gestalten.

Zwar verfügen alle PIMS prinzipiell über die identischen Mechanismen, die aber unterschiedlich ausgestaltet sind. Einfluss auf die Umsetzung der Mechanismen können die Größe der Organisation, die Organisationskultur oder auch der Branchenschwerpunkt sein.

Ein guter Teilmechanismus, um das PIMS permanent an die wechselnden Bedürfnisse der Organisation und interessierten Parteien anzupassen, ist der fortlaufende Verbesserungsprozess (KVP).

Beispiel: Die Datenschutz-Grundverordnung verlangt ein Informationsblatt, in dem Kunden oder etwa Bürger zum Zeitpunkt der Erhebung von Daten über die Art und den Umfang der Verarbeitung von personenbezogenen Daten und damit zusammenhängenden Rechten informiert werden. Diese Informationsblätter nach Artikel 13 und 14 DS-GVO werden zwar rechtskonform veröffentlicht, allerdings gibt es von den Betroffenen viele Nachfragen zu diesen Informationen. Das Unternehmen erkennt durch die Aufnahme dieser Verbesserungsvorschläge, dass es durch die Optimierung der Veröffentlichung der Informationen Ressourcen einsparen und die Kundenzufriedenheit erhöhen kann.

Whitepaper ISO 27701: ISO 27001 trifft DS-GVO der DQS

ISO 27701: ISO 27001 TRIFFT DATENSCHUTZ

Spannendes Thema? Mehr Expertenwissen in unserem kostenfreien Whitepaper. Aus dem Inhalt:

  • den Zusammenhang zwischen der DS-GVO und den ISO-Normen
  • die 7 Schritte zum Datenschutz-Managementsystem
Jetzt herunterladen

Vorteil 5: Ausführlicher Maßnahmenkatalog

Wie schon beschrieben, ist ISO 27701 nicht auf die DSGVO zugeschnitten. Für die Ergänzung des PIMS um die spezifischen Anforderungen der DS-GVO ist der Normanwender verantwortlich.

Die neue Norm bringt aber drei umfangreiche Maßnahmenkataloge zur allgemeinen Umsetzung des betrieblichen Datenschutzes mit:
– technische und organisatorische Maßnahmen,
– Datenschutzorganisation beim Verantwortlichen und
– Datenschutzorganisation beim Auftragsverarbeiter.

Die gute Nachricht für den Europäischen Anwender ist, dass sich die Autoren der neuen Norm bei der Gestaltung der Maßnahmenkataloge stark nach der Datenschutz-Grundverordnung gerichtet haben. Das bedeutet: Die Anwendung der generischen Maßnahmenkataloge bildet bereits viele Anforderungen der DSGVO ab. Fehlende Anforderungen werden dann durch das Anforderungsmanagement nachgeführt.

Die Maßnahmen sind Best-Practices zur Umsetzung und im Stil einer Anleitung verfasst. Im Gegensatz zur DS-GVO (Business Rules) wird dem Anwender der Norm bei den Maßnahmen erläutert, wie eine Umsetzung zu erfolgen hat. Aus Sicht des Autors bedeutet dies einen sehr großen Vorteil.

Fazit: Datenschutz und Informationssicherheit

Wer ein Datenschutzmanagementsystem (DSMS) nach ISO 27701 entwickelt und umgesetzt hat – sprich: wer seine personenbezogenen Daten systematisch schützt und managt – tut sich leicht, die Einhaltung gesetzlicher Bestimmungen sicherzustellen und zu belegen. Richtig angewendet, können durch die Norm viele Fehler bei der Einführung und dem Betrieb eines DSMS vermieden werden.

Mit Blick auf Datenschutz und Informationssicherheit ist ISO 27701 das lang ersehnte Handbuch zur Umsetzung der DS-GVO.

Eine Zertifizierung des PIMS wird aber nur möglich sein, wenn vom Unternehmen auch ein zertifiziertes Informationssicherheits-Managementsystem nach ISO 27001 betrieben wird.

Die DQS – der richtige Partner an Ihrer Seite

ISO-Managementsystemnormen bieten einen systematischen und strukturierten Rahmen, gesetzliche Verpflichtungen zu berücksichtigen und in die Geschäftsprozesse zu integrieren. Unternehmen, die auf Nummer Sicher gehen wollen, können den Status ihrer Informationssicherheit oder DS-GVO-konformen Umsetzung zudem von einer unabhängigen Stelle wie der DQS auditieren lassen.

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihres Unternehmens. Zugleich ist ein zertifiziertes Managementsystem für Informationssicherheit und Datenschutz der Nachweis für die Sorgfalt und Weitsicht Ihres Unternehmens für den Fall von externen Datenangriffen.

Übergangsfristen ISO-Normen DQS Webinare

Unser TIPP: Webinaraufzeichnung

ISO 27701: NACHWEIS ZUR UMSETZUNG DATENSCHUTZRECHTLICHER VORSCHRIFTEN

Webinaraufzeichnung kostenfrei ansehen

Sie haben Fragen? Wir freuen uns auf das Gespräch mit Ihnen. Nehmen Sie Kontakt mit uns auf.